abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:44 | Pozvánky

    Přemýšlíte, jak začít prázdniny? Už v úterý 1. července se bude konat Virtuální Bastlírna, tedy online setkání bastlířů, techniků, vědců i akademiků, kde se ve volné diskuzi probírají novinky ze světa techniky, ale i jiných zajímavých témat.

    Za poslední měsíc jsme byli svědky plamenů několika raket. Zatímco malá raketa od Hondy se úspěšně vznesla a opět přistála, raketa od SpaceX se rozhodla letět všemi směry najednou. Díkybohu méně … více »
    Uprdkávač | Komentářů: 0
    včera 23:44 | Komunita

    Linus Torvalds zmínil, že souborový systém Bcachefs zřejmě odstraní z mainline Linuxu v začleňovacím okně pro vydání 6.17. Kent Overstreet mu totiž posílá kód s novou funkcionalitou i pro začlenění do kandidátů na vydání, kdy očekává pouze opravy chyb. Kent Overstreet byl již dříve z vývoje vyloučen kvůli konfliktní komunikaci.

    Fluttershy, yay! | Komentářů: 9
    27.6. 11:55 | IT novinky

    Ministerstvo průmyslu a obchodu propaguje Microsoft. Ten ve spolupráci s Ministerstvem průmyslu a obchodu spouští AI National Skilling Plan v ČR. "Iniciativa Microsoftu přináší konkrétní a praktickou podporu právě tam, kde ji nejvíc potřebujeme – do škol, firem i veřejné správy.", říká ministr průmyslu a obchodu Lukáš Vlček.

    Ladislav Hagara | Komentářů: 29
    27.6. 10:55 | Zajímavý projekt

    Jste český ISP? Vyplněním krátkého dotazníku můžete pomoci nasměrovat vývoj nové generace routerů Turris Omnia [𝕏].

    Ladislav Hagara | Komentářů: 4
    27.6. 01:33 | IT novinky

    Celkové tržby společnosti Canonical za rok 2024 byly 292 milionů dolarů (pdf). Za rok 2023 to bylo 251 milionů dolarů.

    Ladislav Hagara | Komentářů: 1
    27.6. 01:22 | Nová verze

    Byla vydána verze 1.88.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    27.6. 01:11 | Nová verze

    Distribuce Tails specializující se ochranu online soukromí uživatele byla vydána ve verzi 6.17. Mimo jiné aktualizuje Tor Browser (14.5.4) a opravuje několik chyb.

    Fluttershy, yay! | Komentářů: 0
    26.6. 21:11 | Nová verze Ladislav Hagara | Komentářů: 0
    26.6. 13:11 | IT novinky

    Město Lyon posiluje svou digitální suverenitu a postupně nahrazuje software od společnosti Microsoft bezplatnými alternativami, zejména OnlyOffice pro kancelářské aplikace a Linux a PostgreSQL pro systémy a databáze.

    Ladislav Hagara | Komentářů: 9
    26.6. 11:44 | Zajímavý projekt

    Evropská občanská iniciativa Stop Destroying Videogames se snaží o to, aby vydavatelé, kteří spotřebitelům v Evropské unii prodávají videohry nebo na ně udělují licence, měli povinnost tyto hry ponechat ve funkčním (hratelném) stavu i po ukončení podpory ze své strany. Podpořit podpisem tuto iniciativu můžete v Systému pro online sběr podpisů.

    trekker.dk | Komentářů: 5
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 331 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP

    15.7.2019 16:54 googler | skóre: 6
    Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Přečteno: 398×

    Caute
    Sorry ze stale otravujem ale mam linux webserver na nom mam nainstalovany apache a firewall UFW - Povolene porty 80 a 443 (skusal som aj vypnut firewall ale nepomohlo to).

    Na mikrotiku pouzivam PPP klienta (premenovany na WAN) pre pripojenie cez DSL Telekom a modem je v rezime bridge
    Dalej som na mikrotiku v tom rychlom sprievodcovi zaklikol NAT aby nebolo "vidiet" z vonku do lokalnej siete  
    Okrem portu Eth1 mam vsetky porty prebridgovane a nazov bridgeu je LAN
    V porte Eth2 mam zapojeny switch a v nom vsetky koncove zariadenia a AP
    Mam zapnuty DHCP server
    Pravidla firewallu na mikrotiku vyzeraju takto (aj tie som skusal vypnut nepomohlo):

    [code]ip firewall filter> print
    Flags: X - disabled, I - invalid, D - dynamic
    0    ;;; Accept established and related packets
    chain=input action=accept connection-state=established,related log=no log-prefix=""

    1    ;;; Accept all connections from local network
    chain=input action=accept in-interface=LAN log=no log-prefix=""

    2    ;;; Accept established and related packets
    chain=forward action=accept connection-state=established,related log=no log-prefix=""

    3    ;;; Drop invalid packets
    chain=input action=drop connection-state=invalid log=yes log-prefix=""

    4    ;;; Drop all packets which are not destined to routes IP address
    chain=input action=drop dst-address-type=!local log=yes log-prefix=""

    5    ;;; Drop all packets which does not have unicast source IP address
    chain=input action=drop src-address-type=!unicast log=yes log-prefix=""

    6    ;;; Drop all packets from public internet which should not exist in public network
    chain=input action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

    7    ;;; Drop invalid packets
    chain=forward action=drop connection-state=invalid log=yes log-prefix=""

    8    ;;; Drop new connections from internet which are not dst-natted
    chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix=""

    9    ;;; Drop all packets from public internet which should not exist in public network
    chain=forward action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix=""

    10    ;;; Drop all packets from local network to internet which should not exist in public network
    chain=forward action=drop dst-address-list=NotPublic in-interface=LAN log=yes log-prefix=""

    11    ;;; Drop all packets in local network which does not have local network address
    chain=forward action=drop src-address=!router.lan.ip.0/24 in-interface=LAN log=yes log-prefix=""

    12    ;;; Drop new connections from internet which are not dst-natted
    chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="" [/code]

    NAT (forwarding portov) vyzera takto:

    [code]/ip firewall nat> print
    Flags: X - disabled, I - invalid, D - dynamic
    0    chain=srcnat action=masquerade src-address=router.lan.ip.0/24 out-interface=WAN log=no log-prefix=""

    1    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=80 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=80 log=no log-prefix=""

    2    chain=dstnat action=dst-nat to-addresses=apache.webserver.lan.ip to-ports=443 protocol=tcp dst-address=router.lan.ip in-interface=WAN dst-port=443 log=no log-prefix="" [/code]

    skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo


    vysledok je taky ze v ramci lan je apache pristupny ale neviem preco nepocuva aj na verejnej IP? Myslim ze pricina bude v mikrotiku a nie vo webservery aj ked neviem presne kde v mikrotiku.


    Řešení dotazu:


    Odpovědi

    15.7.2019 17:00 NN
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    nemela by tam byt uvedena nahodou WAN IP adresa routeru?
    dst-address=router.lan.ip in-interface=WAN
    15.7.2019 17:21 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    V predposlednej vete prveho prispevku som napisal "skusal som aj alternativu nastavenia dst-address priamo na verejnu IP routera ale ani to nepomohlo"
    15.7.2019 17:38 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    - ma webserver nastavenu branu?

    - skusal si na nom pustit tcdpump?

    - skusal si pozriet do MKT logov?

    - osobne nemam rad pravidla typu "connection-nat-state=dstnat", ale radsej si implicitne povolim porty - je to prehladnejsie a jasnejsie

    - vzhladom na tu predposlednu vetu asi velmi nevies, co robis, tak mozno by bolo lepsie si to nastudovat
    15.7.2019 19:35 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    A máš na 100% veřejnou IP?

    Pokud vím tak veřejné IPv4 došly a nasyslené se poskytují většinou za peníze.

    Jinak přes IPv6 to funguje?

    Pokud modem použiješ jako modem a server připojíš přímo k němu tak to funguje? (Aby jsi vyloučil chybu v nastavení mikrotiku.)
    Řešení 1× (MMMMMMMMM)
    15.7.2019 20:30 googler | skóre: 6
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Uz to ide reklamoval som to u ISP a problem bol u nich. Sorry za "poplach". BTW ako dst address treba naozaj pouzit WAN IP mikrotiku. BTW2 Ano za staticku verejnu ip si priplacam
    16.7.2019 23:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    PS. To s tou veřejnou IPv4 nebylo myšleno špatně, hromada lidí koukne na mojeip a myslí si že má veřejnou IP.

    Jinak já veřejné IPv4 nemusím co to jde používám IPv6.
    Max avatar 15.7.2019 22:53 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    1) spousta FW pravidel je naprosto zbytečných
    2) jak už bylo řečeno, pravidla s natem jsou špatná a osobně když dělám nat, tak ani nedefinuji IP (to kvůli tomu, kdyby došlo k její změně, tak abych nemusel předělávat i všechny pravidla), prostě :
     chain=dstnat action=dst-nat to-ports=80 protocol=tcp dst-address=ApacheIP in-interface=WAN dst-port=80 log=yes log-prefix="_NAT80_"
    
    3) zapni si logování na tom nat pravidlu, aby jsi viděl, zda tam to spojení doputuje (viz příklad výše)
    Pokud to nebude nic logovat, je to jasné, blokuje se to někde před tvým routerem.
    Zdar Max
    Měl jsem sen ... :(
    15.7.2019 23:11 V.
    Rozbalit Rozbalit vše Re: Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
    Jj, když tak doporučuju ověřit chování podle toho, jak by měly chodit pakety - https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.